AI XDRAI駆動型AIの6つのメリット XDR
組織の技術スタックの基盤を構成するアプリケーションとサーバーは、今この瞬間も、絶え間なく情報を生み出しています。従来、この絶え間なく流れるデータの流れは、セキュリティ専門家にとって悪夢でした。ログ ファイルの集中砲火との戦いは、ここ数十年の間、日常のエンド ユーザーの目にまったく触れることなく、絶え間なく続いてきました。
小規模な組織であっても、基本的な指標を追跡するだけで膨大な量のログデータが蓄積されます。一方、大企業では毎日数百ギガバイトものログ情報が蓄積されることもあります。今日、多くの組織は、セキュリティ情報イベント管理(SIEM)とネットワーク検出・解決(NDR)の2つのソリューションを組み合わせることで、これら全てを網羅的に管理できます。どちらのソリューションも、ネットワーク全体からログデータを集約し、アラートへと効率化することでこの問題に対処しています。しかし、どちらにも限界があります。複雑な設定と管理、そして高い誤検知率により、セキュリティアナリストは効果的な脅威管理と大量の絶え間ないアラートとの間で板挟みになっています。ツールのサイロ化によって、セキュリティは依然として深刻な問題を抱えています。
これらの課題に対処するために、拡張検出および対応(XDR)が登場しました。ログファイルを他の重要なセキュリティデータと比較することで、さらに詳細な情報を得ることに重点を置いています。 AI統合の登場: ネットワーク全体の最先端の分析 それぞれのアラートを独自の範囲内で文脈化します。さまざまなセキュリティレイヤーからのデータを統合することで、 XDR 検出および対応能力の急速な向上を約束します。
この記事では、それがどのように機能するか、そしてAI駆動型であるかどうかについて説明します。 XDR 本当に話題になる価値がある。
Gartner XDR マーケットガイド
XDR 統合された脅威防止、検出、対応機能を提供できる進化するテクノロジーです...
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出する Stellar Cyber の最先端の AI をご覧ください...
AI駆動とは一体何なのか XDR?
まず、 XDR です。
XDR は、既存のツールキットに含まれるさまざまなセキュリティ技術を統合し、統合された統合されたセキュリティ技術の一種です。これにより、 XDR すべての資産とデバイスのセキュリティ体制をより詳細に可視化し、脅威をリアルタイムで検出して対応できます。
AI は、さまざまな動作を検出できるため、この点で大きなメリットをもたらします。たとえば、従来のウイルス対策を考えてみましょう。ユーザーがマルウェアを組み込んだファイルをダウンロードしようとしている場合、従来のマルウェア防御では、既知のマルウェアを示す、事前に認識された一連のバイト パターンを見つけるためにファイルをスキャンすることしかできませんでした。しかし、ポリモーフィック型や新種のマルウェアにより、この防御形式には重大な欠陥が生じています。AI の領域は、ファイル、ユーザー アカウント、またはネットワーク デバイスの予想される動作を分析できるため、すでにこれをはるかに上回っています。
AI駆動 XDR疑わしい動作に対するアプローチは、静的と動的の2つの分野に分けられます。静的分析では、システムコールや制御フローグラフ、データフローグラフなど、イベントに関する低レベルの情報を抽出します。これにより、各アラートに時間をかけすぎずに、アラートやイベントに深みを与えることができます。一方、動的分析では、疑わしいネットワークデバイスやファイルを実行時の視点から検査できます。マルウェアの場合、疑わしいファイルをサンドボックス内で実行することで、実際の運用システムに影響を与えることなく分析できます。
生成 AI がセキュリティ機能をこの分野全体でどのように変革しているかをさらに説明するには、侵害されたアカウントの検出での使用を考えてみましょう。手動でラベル付けされたトレーニング データに依存せずに、初期の AI プロジェクトは、ネットワーク ユーザーのログイン アクティビティを収集し、アクティビティの予想されるベースラインを予測するモデルを構築するように構築されました。たとえば、ユーザーが 1 回の失敗後に再度ログインを試みなければならない場合、IP アドレスと時間はほぼ一定のままであると予想されます。これらが当てはまる場合、関連するリスク スコアは低く抑えられます。IP アドレス、ログイン試行時間、またはログイン試行回数が予想されるベースラインを超えて増加し始めると、モデルはそれを疑わしいものとして強調表示します。
この最初の成功した実証はマイクロソフトの 2021年のプロジェクトQidemon このモデルを実世界のデータでテストしたところ、2万人のユーザープールから7つの侵害されたアカウントを特定することに成功しました。生成AIの進化は、それから3年で加速するばかりです。 XDR これらのソリューションは、AIの独自のアプリケーションを組み合わせることに重点を置いており、これまで別々だったセキュリティ分野間の相互参照をある程度提供します。基本的に、 XDR AIとは、マルウェア対策など、ある分野のデータが、アカウント保護など、別の分野の検出・修復機能に影響を与えることです。これらの2つの例は、AIの発展するメリットをほんの少し垣間見せているに過ぎませんが、どのようにAIが活用されているかを明らかにするのに役立ちます。 XDR システムと AI が並行して存在し、テクノロジー スタック全体がこの分野の熟練度の向上の恩恵を受けることができます。
AI駆動のメリット XDR
AI駆動型 XDR メリットは、データ分析、脅威検知、攻撃対応という3つの主要な分野に分けられます。これらの分野はそれぞれ、AIアーキテクチャと分析の導入以来、急速な進化を遂げています。
データ解析
包括的なセキュリティ データへのアクセスは、進行中の攻撃の監視、インシデント後のフォレンジック分析の実施、脅威ハンティング操作の実行など、さまざまな重要な活動に従事するセキュリティ チームにとって常に重要なものです。これらのタスクには、すべてのアプリ、ユーザー、サーバーから発生するイベントと権限のデータの絶え間ないストリームを理解する能力が必要です。
かつて、統計学者や初期のデータサイエンスの先駆者たちは、代表的ではあっても網羅的ではないデータの限られたサブセットに頼らざるを得ませんでした。これが、静的でルールベースのセキュリティアーキテクチャへと浸透していきました。AI XDR 2 つの分析の利点 (基盤となるアーキテクチャと分析エンジン) を活用して、組織のセキュリティ理念内でデータを活用する方法を再考します。
データレイクの台頭
AI が突然主流になった理由の 1 つは、データ ウェアハウスがデータ レイクに発展したことです。前者のアプローチでは、データを階層的なファイルに分割して人間が使用しやすいようにしていましたが、データ レイクではファイル階層を 1 つの巨大なデータ プールにフラット化します。超効率的なアーキテクチャでホストされているため、私たちが利用できるデータの規模はかつてないほど大きくなっています。
その結果、アナリストは広範なデータセット全体を扱う能力を付与されます。この変化により、単なる代表的なサンプルに頼る必要がなくなり、データの複雑さ、ニュアンス、詳細な側面全体をより深く掘り下げることができるようになります。
さらに、データレイクの効率性により、AIを活用した XDR 従来のセキュリティシステムが直面していた多くの問題を回避し、組織独自のセキュリティシステム群に関する深い洞察を提供します。セキュリティデータを集中管理され、常に更新されるデータベースに再配置することで、2つ目の重要な要素である XDR AI
分析エンジン
データ レイクにより、AI は今日の膨大なセキュリティ データにアクセスできるようになりますが、ツールには依然として ML コンポーネントが存在します。一般的に、機械学習では複雑な数学的アルゴリズムを使用して、さまざまな要素とカテゴリの関係を推測します。この計算分析により、システムはデータから学習し、数十億のデータ ポイントを処理して、新しいデータ インスタンスに対する最適な応答を開発し、時間の経過とともに信頼性の高いパターンを確立できます。
『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する XDR人間が大量のデータを分析し、パターンや異常を特定するという課題に直面していることを考えると、このプロセスは特に重要です。AIとMLの技術は、この課題に非常に役立つでしょう。これらの技術は、ネットワークパケット情報、セキュリティイベントログ、ソースコードなど、多様な形式のデータを迅速に処理・評価することに長けています。セキュリティ運用とリスク管理におけるパターン認識と行動分析の緊急の必要性は、これらの分野におけるAIとMLへの依存度の高まりを浮き彫りにし、サイバーセキュリティ対策の強化におけるAIとMLの重要な役割を浮き彫りにしています。
脅威の検出
AI の洗練されたフレームワークは、ネットワーク トラフィック、エンドポイント、クラウド環境、アプリケーション ログなど、組織のデジタル エコシステム内のさまざまなソースから収集されたデータセットを精査するのに優れています。この統合されたデータセットにより、一般的なサイロ化されたセキュリティ ツールをはるかに超えるレベルの脅威検出が可能になります。
AIが一歩後退してあらゆるデータを集めて分析するのと同じように、 XDR ツールは、個々のセキュリティツールの単調さから脱却することを目指しています。その代わりに、 XDR これらの膨大なデータ量を活用して、アクティビティを迅速に解析し、悪意のある行動のより広範なパターンにリンクする可能性のある懸念されるアクティビティを特定します。
例えば、攻撃者が既にコマンド&コントロールサーバーへの接続を確立している場合を考えてみましょう。比較的高度な攻撃者はこれらのチャネルを暗号化している可能性があり、あなたの攻撃者よりもはるかに大きなリスクをもたらします。 SOC 1日に何百もの正当なセッションの中から不正なセッションを見つけるのは、チームにとって困難な作業です。機械学習モデルは、外部ドメインと通信する悪意のあるビーコン(つまり、一定量のデータを含む定期的なトラフィックバースト)を特定するのに最適です。さらに、この行動ベースの識別は復号を必要としません。
AI XDR 上記のような識別手段を、はるかに複雑で相互にリンクされた攻撃対象領域に適用することを可能にします。一般的なネットワークベースのセキュリティソリューションは、ここで説明した脅威識別プロセスを再現できますが、 XDR 電子メールに埋め込まれたリンクをクリックした証拠を関連付け、会社のデバイスのサイトへのアクセスを記録し、異常なダウンロードアクティビティを特定し、最終的にそれをコマンドアンドコントロールサーバーを示唆するネットワークパターンと関連付けることができます。
AIの役割 XDR これは、プロアクティブなセキュリティ対策への変革を象徴するものであり、組織が絶えず進化するサイバー脅威に対して先手を打って対応できるよう支援します。この文脈におけるAIの重要な利点は、ディープラーニング技術による継続的な学習と適応能力です。システムが新たなデータと変化する脅威環境に合わせて進化するにつれて、脅威検知の精度が向上するだけでなく、誤検知の発生率も低下します。この洗練された脅威識別により、セキュリティチームは真のリスクに集中できるようになり、運用効率と対応時間が向上し、サイバーセキュリティ運用における大きな飛躍をもたらします。
攻撃への対応
AI XDRの影響は識別段階だけに限定されず、トリアージおよび対応プロセス全体にわたって影響が継続します。
根本原因の洞察
AIを活用したインシデントの根本原因に関する深い洞察を提供し、攻撃のシーケンスを概説することで、 XDR ツールは、より迅速かつ効率的な調査を可能にします。これにより、検知から対応までのプロセスが加速され、組織はセキュリティ侵害の影響を迅速に把握し、軽減することができます。
アラートの優先順位
セキュリティツールは、アナリストを無限のアラートで圧倒する傾向にあるが、 XDR アラートを、関連するデータフローやその周囲のアクティビティと比較できる独自の機能を備えています。このコンテキスト重視のアプローチにより、トリアージプロセスが自動化され、セキュリティチームの負担が大幅に軽減されます。これにより、最も重要なアラートに最初に集中できるようになります。
自動応答
AI は、侵害されたデバイスの隔離、悪意のあるアクティビティのブロック、修復措置のリアルタイムでの実施などのアクションを自動的に実行することで、セキュリティ インシデントへの対応を効率化します。この迅速な対応機能により、脅威の潜在的な影響が最小限に抑えられ、手動介入の必要性が少なくなり、セキュリティ対策が迅速に実施されます。
AI主導の理由 XDR 交換 SIEM?
の原動力は XDRの現在の成功の鍵は、内蔵の AI エンジンです。各アラートを取り巻く数百のデータポイントを比較できる比類のない能力と、それに合わせた詳細でカスタマイズ可能なダッシュボードにより、予算を重視するマネージャーは、サイバーセキュリティ技術スタックの他の部分の必要性をすぐに再評価できるようになります。これには十分な理由があります。大規模組織がサイバーセキュリティのスキルギャップを埋めるために、非常に特化したツールを大量に提供してきたため、ツールの無秩序な増加は 5 年以上にわたって懸念されていました。しかし、ツールの増加はアナリストのワークフローに単に追加されただけで、アラートを生成するマシンが 1 台ではなく、数十台に対処しなければならなくなりました。しかし現在、AI はサイバーセキュリティの発展を、非常に特化したニッチなツールの域を超え、包括的で高レベルの理解へと押し進めています。
統合革命はすでに始まっている – ガートナーの2024年予測 今後 70 年以内に、組織の XNUMX% がデータ損失防止ツールと内部リスク防止を IAM コンテキストと組み合わせるようになることが示されています。潜在的な攻撃データの識別はますます動作に重点が置かれるようになり、セキュリティ チームはデータ セキュリティと内部リスクの両方に二重の効果を持つ単一のポリシーを発行できるようになります。
SIEM ツールは一般的に、ログ分析から得られる情報の粒度を誇りとしてきました。しかし、現代のAI主導の XDR ツールには、ログデータの取り込みと分析機能に加え、さらに多くの機能が組み込まれています。単一のリポジトリ内ですべてのセキュリティデータをキャプチャして分析することで、従来の SIEM ツールは時代遅れになり始めています。次世代の SIEMそれ以来、企業は収集している膨大なログデータを分析するために独自のAIモデルを実装し始めており、 XDR さらに葉 SIEM ほこりの中に。ログデータだけを分析するのではなく、 XDR 取り SIEMの個々のデータポイントを分析し、ネットワークとユーザー アクティビティのより広い範囲の中でそれらを文脈化します。
AIの仕組み XDR 誤検知を減らす
SIEM、メール保護ツール、ファイアウォールは、大量のアラートを発することで悪名高い存在です。コンテキストや根本原因が不明なため、人間のアナリストは急増するアラートの意味を解明しなければなりません。影響を受けたユーザーを追跡し、本当に悪意のあるアクティビティかどうかを判断するには時間がかかります。その結果、他のアラートが積み重なり、真の脅威検出が妨げられることになります。
市場をリードするAIベースの XDR これらのソリューションは、利用可能な豊富なデータとセキュリティアナリスト自身の能力のバランスをとる手段を提供します。機密性を犠牲にすることなく最大限のセキュリティを実現するために、 XDRアラートを取得し、関連する資産、ユーザー、シグナルと相関させます。この相関関係にある全体をインシデントと呼びます。新しいアラートが発生すると、それぞれが自動的に関連するインシデントに割り当てられます。これにより、複雑な攻撃を検出し、対処することが可能になり、単発的な誤報は考慮されなくなります。
デバイス、ユーザーID、クラウド展開を横断して攻撃履歴を追跡できるということは、セキュリティアナリストがはるかに多くのアラートをより統合的に処理できることを意味します。アラートのより広いコンテキストを評価することで、AIベースの XDR 膨大な時間の浪費を本質的に排除し、小規模なセキュリティチームが最も重要な脅威への迅速な修復に集中できるようにします。このインシデントファーストのアプローチこそが、セキュリティ技術スタックの簡素化、迅速な修復、そしてアナリストのストレス軽減へと導いています。Stellar Cyberの取り組みについて詳しくはこちらをご覧ください。 AI を活用したアラート ここで働きます。
高度なAI駆動型脅威検出を選択する
いくらで XDR ソリューションはクロスチャネルの可視性に依存するため、対象となるソリューションがオープンで実装しやすいことが不可欠です。Stellar Cyberのオープンな XDR 既存のアーキテクチャに最先端の脅威検知機能を提供します。これにより、既存のサイロ化された運用を完全に汎用的なEDRツールへと変革します。
コアとなるAI駆動型 XDR Stellar Cyberは、このツールが限られたリソースしか持たないサイバーセキュリティチームに多大なメリットをもたらすことに加え、セキュリティアナリストへのコミットメントとして、生成型AIのさらなる進化を実現しました。現在、アナリストはツール自体に調査関連のクエリを投げかけることも可能です。会話形式でインサイトを提供することで、スキルが未熟なアナリストや、時間が限られているアナリストでも、ツールのインテリジェンスをこれまで以上に迅速に活用できるようになります。
私たちの詳細をご覧ください 開いた XDR 機能 セキュリティ チームの潜在能力を最大限に引き出しましょう。
